Vous êtes sur la page 1sur 53

Sistemas de Informacin

nas Administracins
Pblicas

Responsable: Alvaro M. Gmez Vieites


1. EL RETO DE COMPETIR EN LA NUEVA ECONOMA

La Nueva Economa, la Sociedad de la Informacin, la Era Digital, la Tercera


Ola, la Economa en Red son trminos que constantemente aparecen en los medios de
comunicacin. La sociedad se est transformando a una velocidad vertiginosa, y los
cambios en las relaciones econmicas se traducen en nuevos modelos de negocio y en
nuevas formas de competir. Las Tecnologas de la Informacin y las Comunicaciones se
han convertido en herramientas bsicas para las organizaciones de la Nueva Economa.

En esta nueva etapa dominada por Internet, la red de redes, los mercados
adquieren una dimensin global, y las organizaciones deben trabajar en tiempo real,
superando las barreras geogrficas y temporales. Se ha intensificado la competencia en
todos los sectores productivos, y estn apareciendo empresas virtuales que lanzan
productos y servicios innovadores que ponen en peligro los modelos de negocio
tradicionales.

En la Economa Digital la innovacin permanente se convierte en la nica fuente


de ventaja competitiva. El entorno se ha vuelto mucho ms exigente, incierto y
cambiante, por lo que las organizaciones deben desarrollar su capacidad para aprender y
adaptarse a los nuevos modelos de negocio. Las organizaciones giles y flexibles son
las que triunfan en este escenario: en la era de Internet, el pez grande ya no se come al
pez chico; es el pez rpido el que se come al pez lento.

La penetracin de Internet a todos los niveles est provocando importantes


cambios en la estructura de la mayora de los sectores econmicos: se alteran las
relaciones entre los distintos participantes (empresas, proveedores, distribuidores,
clientes), los productos y servicios se vuelven ms inteligentes al incorporar cada vez
ms informacin, surgen nuevos modelos de negocio que ponen en peligro los
tradicionales en el sector, etc. Las empresas deben conocer y evaluar el impacto de estos
cambios en su sector, y definir una estrategia de implantacin gradual de Internet en sus
procesos y en los servicios que ofrecen a sus clientes.

Por todos estos motivos, hoy ms que nunca las empresas necesitan contar con
profesionales cualificados, con los conocimientos, actitudes y habilidades necesarios
para poder competir en este nuevo entorno que caracteriza la Economa Digital.
Adems, los continuos avances tecnolgicos y la rapidez a la que se estn produciendo
los cambios en el entorno, obligan a un proceso de formacin continua, de permanente
actualizacin de sus conocimientos.

Pgina 1
2. OBJETIVOS DE LA MATERIA
Para dar respuesta a algunos de los nuevos retos planteados por la Economa
Digital, se propone el estudio de la materia de Sistemas de Informacin y Seguridad
Informtica, cuyos objetivos se concretan en los siguientes puntos:

Analizar las caractersticas que definen la Economa Digital y la Sociedad


del Conocimiento, y justificar la importancia adquirida por la informacin y
el conocimiento en esta nueva economa.

Reflexionar sobre la posibilidad de incorporar las Tecnologas de la


Informacin y la Comunicacin (TICs) para mejorar los procesos.

Analizar el papel de los Sistemas de Informacin y la complejidad asociada a


la implantacin de un Sistema de Informacin como soporte a los procesos
de la organizacin.

Analizar la problemtica de la Seguridad de la Informacin.

Conocer los principios bsicos del marco legal de la proteccin de datos de


carcter personal en Espaa: LOPD

Analizar las consecuencias que el incumplimiento de la LOPD podran tener


para una organizacin, prestando especial atencin a los problemas ms
habituales: utilizacin de los datos de los empleados y de los clientes,
adquisicin de nuevas bases de datos, cesiones de datos a terceros,
subcontratacin de determinados trabajos (nminas, seleccin de personal,
mailings a clientes), etc.

Pgina 2
3. DURACIN Y METODOLOGA

3.1. Duracin
La materia se desarrolla en una nica sesin de 6 horas.

3.2. Metodologa
La metodologa docente de cada sesin se basar en exposiciones descriptivas
por parte del profesor, con el anlisis on-line de ejemplos y pequeos casos prcticos
mediante una conexin permanente a Internet. Asimismo, se propondr la discusin en
grupos de trabajo de casos prcticos de mayor complejidad y duracin, para fomentar el
debate y la reflexin sobre los conceptos y cuestiones ms importantes de cada sesin.

Pgina 3
4. ESTRUCTURA DE LA MATERIA

1. La Sociedad de la Informacin
1.1. Caractersticas de la Sociedad de la Informacin
1.2. El papel de la informacin como recurso a explotar y gestionar
1.3. Creacin de empresas en la Sociedad de la Informacin

2. El papel de las TICs como motor del cambio


2.1. Desarrollo de las TICs e Internet en los ltimos aos
2.2. Resistencia a la implantacin de las TICs
2.3. Aspectos organizativos y la clave del factor humano

3. Sistemas de Informacin
3.1. Revisin del papel de los Sistemas de Informacin
3.2. Gestin del proyecto de implantacin de un Sistema de Informacin

4. Seguridad Informtica
4.1. La importancia de la Seguridad Informtica
4.2. Sistema de Gestin de la Seguridad de la Informacin

5. Proteccin de Datos de Carcter Personal


5.1. Principales caractersticas de la LOPD
5.2. Titular del fichero y encargado del tratamiento.
5.3. Inscripcin de los ficheros con datos de carcter personal
5.4. Principios bsicos de Proteccin de Datos: calidad de los datos, informacin a
los afectados, cesiones y tratamientos encargados a terceros, solicitud del
consentimiento, seguridad de los datos, etc.
5.5. Discusin de distintos ejemplos reales sobre las consecuencias del
incumplimiento de estos principios bsicos.
5.6. Derechos de los afectados: derechos de acceso, rectificacin, cancelacin u
oposicin.
5.7. Anlisis de las medidas de seguridad a implantar en los ficheros
5.8. Infracciones y sanciones previstas por la LOPD.

Pgina 4
5. DOCUMENTACIN ENTREGADA
Diapositivas

Casos
1. Impacto de Internet en los servicios de informacin
2. Ayuntamiento de Barataria (adaptacin a la LOPD)
3. Mueblibao (sanciones incumplimiento LOPD)

Artculos:
1. La importancia de garantizar la proteccin de datos personales y
la privacidad.
2. Sistemas de Informacin
3. Implantacin de ERPs

Material prctico:
1. Modelo de contrato de tratamiento de datos de carcter personal.
2. Ejemplos de sanciones de la Agencia de Proteccin de Datos.
3. Cuadro resumen de las medidas de seguridad.

Pgina 5
6. PROFESOR

lvaro Gmez Vieites

(agomez@simce.com)

Ingeniero de Telecomunicacin por la Universidad de Vigo.


Especialidades de Telemtica y de Comunicaciones. Nmero uno de
su promocin (1996) y Premio Extraordinario Fin de Carrera.

Ingeniero Tcnico en Informtica de Gestin por la UNED (2004-2006). Premio


al mejor expediente acadmico del curso 2004-2005 en la Escuela Tcnica Superior de
Ingeniera Informtica de la UNED.

Actualmente completando las carreras de Licenciatura en Direccin y


Administracin de Empresas y de Licenciatura en Economa por la UNED (2006-2010).

Diploma de Estudios Avanzados (Curso de Doctorado) por la Universidad


Politcnica de Madrid. Presentada la tesis doctoral sobre Estudio de los factores que
inciden en el desarrollo de las actividades de I+D+I y de su impacto en los resultados
empresariales en el Departamento de Anlisis Econmico I de la UNED.

Executive MBA y Diploma in Business Administration por la Escuela de


Negocios Caixanova.

Ha sido Director de Sistemas de Informacin y Control de Gestin en la Escuela


de Negocios Caixanova. Profesor colaborador de esta entidad desde 1996. Director del
Master en Direccin de Empresas del Sector TIC desde 2000.

Socio-director de SIMCe y socio-consultor de EOSA. Consultor de empresas,


con una amplia experiencia en la realizacin de proyectos y estudios relacionados con la
gestin de la innovacin y el impacto de las Tecnologas de la Informacin y la
Comunicacin en la gestin empresarial.

Libros y artculos publicados:

1. Libros:
1. Marketing na Internet e nos Meios Digitais Interactivos (marzo 2008),
editado en Portugal por Vida Econmica en colaboracin con la Escuela de
Negocios Caixanova (ISBN 978-972-788-244-1).

2. La Seguridad Informtica y la Proteccin de los Datos de Carcter Personal


en las Entidades Locales (diciembre 2006), editado por la Diputacin de
Ourense (ISBN 84-96503-35-6).

Pgina 6
3. Enciclopedia de la Seguridad Informtica (octubre 2006), editado por Ra-Ma
en Espaa (ISBN 84-7897-731-7) y por Alfaomega en Latinoamrica (ISBN
978-970-15-1266-1).

4. Marketing Relacional, Directo e Interactivo (abril 2006), editado por Ra-Ma


en Espaa (ISBN 84-7897-712-0). Libro prologado por Joost van Nispen.

5. Sistemas de Informacin. Herramientas prcticas para la gestin


empresarial (febrero 2003), editado por Ra-Ma en Espaa (ISBN 84-7897-553-
5) y por Alfaomega en Latinoamrica (ISBN 970-15-0949-8). Segunda edicin
publicada en 2006 (ISBN: 84-7897-6949).

6. Redes de ordenadores e Internet. Funcionamiento, servicios ofrecidos y


alternativas de conexin (enero 2003), editado por Ra-Ma en Espaa (ISBN
84-7897-545-4) y por Alfaomega en Latinoamrica (ISBN 970-15-0900-5).

7. Las Claves de la Economa Digital (noviembre 2002), editado por Ra-Ma en


Espaa (ISBN 84-7897-537-3) y por Alfaomega en Latinoamrica (ISBN 970-
15-0875-0).

8. Sistemas de Telecomunicacin e Internet. Gua Prctica para los


profesionales del nuevo milenio (junio 2002), editado por Trculo en
colaboracin con SIMCe Consultores y la Fundacin R (ISBN 84-8408-213-X).

9. Marketing en Internet y en los Medios Digitales Interactivos (abril 2002),


editado por Trculo en colaboracin con la Escuela de Negocios Caixanova y
Comunitel (ISBN 84-8408-203-2).

10. Comercio Electrnico y Economa Digital (abril 2002), editado por Trculo
en colaboracin con la Escuela de Negocios Caixanova y Comunitel (ISBN 84-
8408-204-0).

11. Participacin con otros autores en la preparacin del libro Las tecnologas de
la informacin y la comunicacin en las empresas gallegas, Consellera de
Industria, Xunta de Galicia, 2002 (ISBN 84-8408-209-1).

12. Participacin con otros autores en la preparacin de las guas prcticas


Oportunidades de las TIC para la mejora de la empresa, Consellera de
Industria, Xunta de Galicia, 2002 (ISBN 84-8408-209-1).

2. Artculos:
1. La transicin hacia los mercados hipercompetitivos y digitales, revista e-
Deusto, ISSN 1579-5934, n3, noviembre de 2006, pgs. 62-66.

2. Amazon vs Barnes & Noble, revista Harvard Deusto Mrketing & Ventas,
ISSN: 1133-7672, n75, julio/agosto de 2006, pgs. 62-71.

3. Hacia un nuevo concepto de Marketing, revista Harvard Deusto Mrketing


& Ventas, ISSN: 1133-7672, n73, marzo/abril de 2006, pgs. 36-44.

Pgina 7
4. Seguridad informtica: funciones y responsabilidades de los empleados y
directivos, revista Capital Humano, ISSN 1130-8117, n 185, febrero de 2005,
pgs. 68-80.

5. Seguridad informtica y proteccin de datos de carcter personal, revista


Dyna (Federacin de Asociaciones de Ingenieros Industriales), ISSN 0012-
7361, Vol. 80, N 8, 2005 , pgs. 57-59.

6. El Impacto de Internet en el Marketing-Mix, revista Harvard Deusto


Mrketing & Ventas, ISSN: 1133-7672, n 51, julio/agosto de 2002, pgs. 32-
39.

7. Claves para conocer al cliente de la nueva economa, revista Harvard


Deusto Mrketing & Ventas, ISSN: 1133-7672, n 50, mayo/junio de 2002,
pgs. 24-29.

8. Varias decenas de artculos sobre Internet y Nueva Economa publicados en las


revistas Indice, Club Financiero de Vigo o ECO, as como en varios portales de
Internet como documentalistas.org.

3. Ponencias:
1. Ponencia titulada La lucha contra el ciberterrorismo y los ataques
informticos, presentada en la X Reunin Espaola sobre Criptologa y
Seguridad de la Informacin, en Salamanca del 2 al 5 de septiembre de 2008.

2. Ponencia titulada Las posibilidades ofrecidas por el Webmining, presentada


en el XI Congreso de Mundo Internet, en Mlaga del 14 al 16 de mayo de 2007.

3. Ponencia titulada La importancia de explotar la informacin de los clientes y


el modelo del lifetime value, presentada en el XI Congreso de Mundo Internet,
en Mlaga del 14 al 16 de mayo de 2007.

4. Ponencia titulada Medios de pago en Internet, presentada en el XI Congreso


de Mundo Internet, en Mlaga del 14 al 16 de mayo de 2007.

5. Ponencia titulada La importancia del factor humano y organizativo en los


Sistemas de Informacin, presentada en el II Simposium Internacional de
Radiografa Digital, en Valencia el 18 de octubre de 2006.

6. Ponencia titulada Seguridad informtica: funciones y responsabilidades de


los empleados y directivos, presentada en el X Congreso de Mundo Internet, en
Madrid del 13 al 15 de abril de 2005.

Pgina 8
Sistemas de Informacin

TICs, Sistemas de Informacin


y Proteccin de Datos

lvaro Gmez Vieites 1

Sistemas de Informacin

PARTE I
La Sociedad de la Informacin

lvaro Gmez Vieites 2


Sistemas de Informacin

La Sociedad de la Informacin

Sociedad de la Informacin: Estadio de desarrollo


social caracterizado por la capacidad de sus
miembros (ciudadanos, empresas y Administracin
Pblica) para obtener y compartir cualquier
informacin, instantneamente, desde cualquier lugar
y en la forma que se prefiera.

(Informe 2002 de Telefnica sobre la Sociedad de la Informacin)

lvaro Gmez Vieites 3

Sistemas de Informacin

La Sociedad de la Informacin
Nueva Economa, Economa Digital, Economa
en Red, Sociedad de la Informacin, Tercera
Ola
Elemento desencadenante de esta nueva situacin?
Uso intensivo de las Tecnologas
de la Informacin y las
Comunicaciones (TICs), a todos
los niveles

Convergencia de la Informtica
y de las Comunicaciones
lvaro Gmez Vieites 4
Sistemas de Informacin

La Sociedad de la Informacin
Cambios drsticos y nuevos paradigmas:
De un flujo de actividades intermitente a un flujo continuo
y globalizado
Eliminacin barreras
 Geogrficas
 Temporales
Autoservicio
 El cliente trabaja
para la empresa
Teletrabajo
Deslocalizacin
lvaro Gmez Vieites 5

Sistemas de Informacin

Empresas en la Sociedad de la Informacin


Microsoft 25 aos despus
Apostara por Bill La mayor empresa de
Gates y su equipo software del planeta
en 1978?
Tiene una plantilla de
55.000 empleados
Presente en ms de veinte
pases
Fundada por Gates y Paul
Allen, en Albuquerque
(Nuevo Mxico), en 1975
Su producto estrella es
Windows, presente en 9 de
cada 10 ordenadores

lvaro Gmez Vieites 6


Sistemas de Informacin

Empresas en la Sociedad de la Informacin


Que no te amazoneen!!
Si no arriesgas, no ganasel mayor riesgo es no arriesgar!
 Ni Barnes & Noble ni Borders desarrollaron la tienda de venta on-
line de libros ms famosa: fue Amazon
 Ni la CNN, ni Newsweek ni el New York Times crearon los
Websites de informacin ms acreditados: fue Yahoo!
 Ni IBM ni Compaq ni HP desarrollaron el modelo de venta directa
de PCs a travs de Internet: fue Dell
 Ni Sothebys ni Christies impulsaron el Website de subastas ms
concurrido: fue eBay
 Ni ATT ni MCI pusieron en marcha el servicio de acceso a Internet
ms popular: fue America Online
El que no aplica nuevos remedios debe esperar nuevos males,
lvaro Gmez Vieites porque el tiempo es el mximo innovador (Francis Bacon) 7

Sistemas de Informacin

Internet y las Nuevas Tecnologas estn abriendo un nuevo


mundo de oportunidades y posibilidades de negocio
lvaro Gmez Vieites 8
Sistemas de Informacin

PARTE II
El papel de las TICs e Internet
como motor del cambio

lvaro Gmez Vieites 9

Sistemas de Informacin

El papel de las TICs


Ley de Moore: continuo avance en las prestaciones de
los microprocesadores

El 19 de abril de 1965, la revista


Electronics public el artculo
en el que Moore expona su tesis
TechReview, 2004

lvaro Gmez Vieites 10


Sistemas de Informacin

El camino hacia un mundo digital

Digitalizacin de productos - Ventajas

lvaro Gmez Vieites 11

Sistemas de Informacin

Internet: un mundo de posibilidades

La nueva interdependencia
electrnica recrea el mundo a
imagen de una Aldea Global

Marshall McLuhan
(socilogo canadiense)

Anytime, Anywhere
En estos momentos, cualquiera y
nadie a la vez son el centro (Galileo)
lvaro Gmez Vieites 12
Sistemas de Informacin

Internet: un mundo de posibilidades

Internet es un
medio de informacin
(prensa, radio, televisin
personalizada, interactiva y
multimedia)
lvaro Gmez Vieites 13

Sistemas de Informacin

Internet: un mundo de posibilidades

Internet es un
medio de comunicacin
(e-mail, chat, telefona IP, fax IP,
videoconferencia, mensajera)

lvaro Gmez Vieites 14


Sistemas de Informacin

Internet: un mundo de posibilidades

Internet es un
medio de transaccin
(comercio electrnico,
distribucin productos digitales,
trmites con la Administracin)
lvaro Gmez Vieites 15

Sistemas de Informacin

Internet: un mundo de posibilidades


Universalizacin de Internet:
Acceso mediante todo tipo de dispositivos:
 TV Interactiva (Internet-Box-TV)
Conexin a Internet desde el equipo de TV
Navegacin utilizando un mando a distancia y un teclado especfico
 Telfonos mviles (WAP, 3G)
 PDAs y TabletPCs
 Electrodomsticos: neveras, lavadoras, hornos, marcos
 Coches
 Aviones y barcos
Proliferacin de los cibercafs y de las cabinas especializadas en
hoteles, aeropuertos, centros comerciales

lvaro Gmez Vieites 16


Sistemas de Informacin

Internet: un mundo de posibilidades


LGE Home Network

lvaro Gmez Vieites 17

Sistemas de Informacin

Internet: un mundo de posibilidades

http://www.wallflower-systems.com/

Ambient Devices http://www.ambientdevices.com/


lvaro Gmez Vieites 18
Sistemas de Informacin

Internet: un mundo de posibilidades


Universalizacin de Internet:
Hacia la invisibilidad de la tecnologa que soporta la
Red

Alan Kay: la tecnologa es tecnologa slo para quien ha nacido antes que ella

lvaro Gmez Vieites 19

Sistemas de Informacin

Internet: un mundo de posibilidades


Hacia la universalizacin del uso de Internet
Internet se ha convertido ya en el medio mas consumido en
Espaa, con 12,1 horas a la semana por internauta, algo ms de un
punto por encima de la televisin cuyo consumo es de 11,7 horas por
semana, un 11% menos que en el 2004.
Esta es una de las conclusiones del estudio europeo Mediascope,
realizado por la Asociacin Europea de Publicidad Interactiva
(EIAA), que ha realizado 9.000 entrevistas en 10 pases europeos,
1.000 de ellas en Espaa, realizadas entre el 1 y el 21 de septiembre
de 2008. El consumo de radio es de 10,9 horas por semana, un 22%
menos que en 2004, mientras que el de peridicos es de 4,4 horas por
semana y el de revistas 3,6 horas.
La Voz de Galicia, 12/12/2008
lvaro Gmez Vieites 20
Sistemas de Informacin

El papel de las TICs


Ley de Demi-Moore: asimilacin de la tecnologa
Tecnologa
disponible

Gap
tecnolgico

Tecnologa
aplicada por
Inercia social
las empresas
y la sociedad
en general

lvaro Gmez Vieites 21

Sistemas de Informacin

El papel de las TICs


Algunas frases clebres sobre las nuevas tecnologas:
 Este telfono tiene muchas limitaciones para ser seriamente
considerado como un medio de comunicacin, el aparato no
presenta ningn valor inherente para nosotros, memorndum
interno de la Western Union (1876)
 Siendo ms pesadas que el aire, las mquinas voladoras son
imposibles, Lord Kelvin, presidente de la Royal Society (1895)
 Todo lo que se poda inventar ya ha sido inventado, Charles
Duell, Director de la Oficina de Patentes de EEUU (1899)
 En el mundo slo habr mercado para cinco computadoras,
Thomas Watson, director de IBM (1943)
 No existe razn para que alguien tenga un ordenador en su casa,
Ken Olse, director de Digital Equipment Corporation (1977)

lvaro Gmez Vieites 22


Sistemas de Informacin

El papel de las TICs


Algunas frases clebres sobre las nuevas tecnologas:
 Los aviones no tienen ningn valor militar, Mariscal Ferdinand
Foch, 1912
 La caja musical sin cables no tiene ningn tipo de valor
comercial. Quin iba a pagar por un mensaje que no est siendo
mandado a nadie en particular, David Sarnoffs Associates en
respuesta a la propuesta de invertir en la radio, durante los aos 20
 Quin demonios va a querer or hablar a los actores, H. M.
Warner, Warner Brothers, 1927
 La TV ser un fracaso: la familia media americana no tiene
tiempo para verla, New York Times, 1939
 640 Kb de memoria deberan ser suficientes para cualquiera,
Bill Gates, 1981
Las tecnologas importan, pero no debemos
olvidar las necesidades de las personas
lvaro Gmez Vieites 23

Sistemas de Informacin

Aspectos organizativos y el factor humano


Formacin
Saber Soporte al usuario Una persona hace lo que sabe hacer, lo
que est motivada a hacer y lo que su
entorno le permite hacer
La introduccin de nuevas herramientas
tecnolgicas produce cambios en el
entorno de trabajo de una persona,
afectando al equilibrio de estos tres
Querer Poder factores (saber, querer y poder)
Inters Tecnologa y
Motivacin recursos disponibles
Implicacin
Segn un estudio realizado en el Reino Unido, entre un 80 % y un 90 % de los
proyectos de implantacin de Sistemas de Informacin en los aos noventa no
consiguieron alcanzar los niveles de rendimiento esperados, entre otras razones
porque no se presentaba suficiente atencin a los factores humanos y organizativos
The Performance of Information Technology and the Role of Human and
Organizational Factors, British Department of Trade and Industry
lvaro Gmez Vieites 24
Sistemas de Informacin

PARTE III
Implantacin de Sistemas de
Informacin

lvaro Gmez Vieites 25

Sistemas de Informacin

Revisin de los Sistemas de Informacin

Plataforma de
contratacin
Empresas electrnica
contratistas
Personal
Administracin

Factura Tramitador de
electrnica expedientes

lvaro Gmez Vieites 26


Sistemas de Informacin

Revisin de los Sistemas de Informacin


EMPRESAS
LICITADORAS

PORTAL DE
CONTRATACIN
REGISTRO DE LICITADORES
ELECTRNICA

INTEROPERABILIDAD
NOTIFICACIONES REGISTRO
TELEMTICAS TELEMTICO AVAL ELECTRNICO
FACTURA
ELECTRNICA

FIRMA CUSTODIA
ELECTRNICA DOCUMENTAL
CATALOGO
ELECTRNICO
GENERADOR DE MOTOR DE OTROS ORGANISMOS
FORMULARIOS TRAMITACIN COMPONENTES Y ENTIDADES
VERTICALES DE
COMPONENTES COMUNES DE eCONTRATACIN
eADMINISTRACIN

PLATAFORMA DE CONTRATACIN ELECTRNICA

RGANOS DE
TRAMITADOR DE EXPEDIENTES DE CONTRATACIN
CONTRATACIN

lvaro Gmez Vieites 27

Sistemas de Informacin

Revisin de los Sistemas de Informacin

DIMENSION
HUMANA

SISTEMAS DE
INFORMACION

DIMENSION DIMENSION
TECNOLOGICA ORGANIZATIVA

lvaro Gmez Vieites 28


Sistemas de Informacin

Implantacin de Sistemas de Informacin


Factores Crticos para la Implantacin (I)
Planificacin realista, teniendo en cuenta las restricciones
tcnicas, econmicas y organizativas
Utilizacin de herramientas de planificacin y gestin de
proyectos (con soporte de tcnicas como Gantt o PERT)
Compromiso de la direccin con el proyecto
Definicin precisa de los objetivos

lvaro Gmez Vieites 29

Sistemas de Informacin

Implantacin de Sistemas de Informacin


Factores Crticos para la Implantacin (II)
Anlisis detallado de los requerimientos
 Documentacin de los procesos
 Requisitos planteados por los usuarios finales
 Interfaz de usuario

Definicin de las especificaciones y requisitos tcnicos


 Diseo lgico y conceptual
 Integracin con otros sistemas
 Migracin de datos del entorno de trabajo anterior

Construccin del Sistema de Informacin


lvaro Gmez Vieites 30
Sistemas de Informacin

Implantacin de Sistemas de Informacin


Factores Crticos para la Implantacin (III)
Equipo de implantacin con experiencia en el sistema
elegido y dedicacin a tiempo completo, integrado por
usuarios funcionales del sistema, tcnicos informticos
propios y consultores externos
Formacin y soporte tcnico a los usuarios (redaccin de
procedimientos, diseo de manuales de usuario, diseo e
imparticin de cursos a usuarios finales, etc.)

lvaro Gmez Vieites 31

Sistemas de Informacin

Implantacin de Sistemas de Informacin


Factores Crticos para la Implantacin (IV)
Gestin del cambio organizativo
 Resistencia natural al cambio de las personas
Vencimiento de los temores de los empleados ante la nueva situacin
Prdida de puestos de trabajo
Inseguridad ante el futuro
Prdida de poder en la organizacin...
Desconocimiento de los objetivos que se pretenden alcanzar y de cules son
las causas que justifican el cambio
 Promover la participacin de los usuarios finales desde el principio
 Medidas de sensibilizacin y de motivacin (persuadir e implicar a los
usuarios, retocar el sistema retributivo y de incentivos, etc.)
 Anlisis del impacto en la carga de trabajo de los distintos puestos y
funciones, una vez se haya puesto en marcha el nuevo sistema
Verificacin de los nuevos mtodos de trabajo

lvaro Gmez Vieites 32


Sistemas de Informacin

Implantacin de Sistemas de Informacin


Factores Crticos para la Implantacin (V)
Pruebas y validacin del nuevo sistema
Documentacin del Sistema de Informacin y del proyecto
 Documentacin tcnica del sistema
 Manuales de procedimientos: pasos a seguir, codificacin, etc.
 Manuales de usuario final
 Material de formacin (ejemplos, casos prcticos, etc.)
Posterior mantenimiento y actualizacin del sistema, para
hacer frente a los cambios en los procesos de negocio o en
las necesidades de los Departamentos

lvaro Gmez Vieites 33

Sistemas de Informacin

PARTE IV
Gestin de la Seguridad de la
Informacion (SGSI)

lvaro Gmez Vieites 34


Sistemas de Informacin

Seguridad de la Informacin

Activos Fsicos Datos e informacin


sobre el negocio
Dependencia del negocio y de la actividad de una organizacin de los
datos e informacin acumulados, as como del soporte de las TICs
lvaro Gmez Vieites 35

Sistemas de Informacin

Seguridad de la Informacin

Incendio de la Torre Windsor en Madrid, 12 de febrero de 2005


Edificio de 28 plantas dedicado a oficinas:
La consultora y auditora Deloitte & Touche ocupaba 20 plantas
El bufete Garrigues ocupaba 2 plantas
lvaro Gmez Vieites 36
Sistemas de Informacin

Seguridad de la Informacin
Dificultades a tener en cuenta:
Intangibilidad de la informacin
Escasa formacin en seguridad
Las medidas de seguridad no incrementan la
productividad de la organizacin
Progresiva descentralizacin de los recursos
informticos
Problemas con el software (agujeros de seguridad)
Continuos cambios en el entorno tecnolgico
Conexiones a Internet y accesos remotos
lvaro Gmez Vieites 37

Sistemas de Informacin

La Funcin de Seguridad
Sistema de Gestin de la Seguridad de la Informacin
SGSI: Aquella parte del sistema general de gestin que comprende la
poltica, la estructura organizativa, los procedimientos, los procesos y
los recursos necesarios para implantar la gestin de la seguridad de la
informacin en una organizacin
 La gestin de la seguridad consiste en la realizacin de las tareas
necesarias para garantizar los niveles de seguridad exigibles en una
organizacin
 Los riesgos no se pueden eliminar, pero s se pueden gestionar
Poltica de Gestin de la Seguridad de la Informacin: Conjunto de
normas reguladoras, procedimientos, reglas y prcticas que determinan
el modo en que los activos, incluyendo la informacin considerada
como sensible, son gestionados, protegidos y distribuidos dentro de
una organizacin
lvaro Gmez Vieites 38
Sistemas de Informacin

La Funcin de Seguridad
Modelo para la Gestin de la Seguridad de la Informacin
Personas Tecnologa
Sensibilizacin y formacin Seleccin, instalacin,
configuracin y actualizacin de
Obligaciones y
soluciones HW y SW
responsabilidades del personal
Criptografa
Control y supervisin
Estandarizacin de productos
Colectivos a considerar:
Directivos, Administradores, Desarrollo seguro de aplicaciones
Programadores, Usuarios,
Personal Externo S.G.S.I.
Organizacin
Polticas, Normas y
Legislacin Procedimientos
Cumplimiento y adaptacin a Planes de Contingencia y
la legislacin vigente: I.S.M.S. (Information Security Respuesta a Incidentes
LOPD, LSSI, LGT, Firma Electrnica, Management System)
Cdigo Penal, Propiedad Intelectual... Relaciones con terceros (clientes,
proveedores...)
lvaro Gmez Vieites 39

Sistemas de Informacin

Estndares de Seguridad
ISO/IEC 15408: Common Criteria
ISO/IEC 17799: Information Security Management
 Cdigo de Buenas Prcticas, que incluye varios controles para mejorar la
Gestin de la Seguridad de la Informacin
ISO 27001 (SGSI)
En Espaa, serie de informes UNE 71501 y 71502 de
AENOR
 Establecer requisitos para proteger y gestionar la seguridad de los
Sistemas de Informacin dentro de las organizaciones
UNE 71501-Parte 1: Conceptos y Modelos para la Seguridad de TI
UNE 71501-Parte 2: Gestin y Planificacin de la Seguridad de TI
UNE 71501-Parte 3: Tcnicas para la Gestin de la Seguridad de TI
UNE 71502: Especificaciones para los sistemas de Gestin de Seguridad de
la Informacin (SGSI)
lvaro Gmez Vieites 40
Sistemas de Informacin

La importancia del factor humano


El enemigo est en casa en un 75 % de los casos
 Errores de los empleados: 50%
 Empleados deshonestos: 15%
 Empleados descuidados: 15%
 Intrusos ajenos a la empresa: 10%
 Integridad fsica de instalaciones: 10%
Fuente: Datapro Research Corp.

lvaro Gmez Vieites 41

Sistemas de Informacin

PARTE V
Proteccin de Datos de Carcter
Personal (LOPD)

lvaro Gmez Vieites 42


Sistemas de Informacin

Proteccin de Datos Personales


Cmo garantizar la proteccin de datos personales y la
privacidad:
Postura de la Unin Europea y otros pases, partidarios de una estricta
regulacin Estatal, con fuertes sanciones para aquellas empresas y
organizaciones que incumplan las normas (hardlaw)
 Tambin en Latinoamrica se ha reconocido recientemente el derecho
fundamental a la proteccin de los datos personales de los ciudadanos
Pases como EEUU que son mucho ms permisivos con las
actuaciones de las empresas, y que abogan por una autorregulacin de
la industria y la elaboracin de cdigos ticos de conducta, sin la
intervencin por parte de los Estados (softlaw)
 Fuertes presiones de las empresas y otros intereses econmicos para
impedir la intervencin estatal

lvaro Gmez Vieites 43

Sistemas de Informacin

Proteccin de Datos Personales


Servicios de venta de datos personales en EEUU
US Search (http://www.ussearch.com/)

Tiene el vecino antecedentes penales?


Est involucrado mi nuevo compaero
de trabajo en una quiebra?
Dnde han vivido durante los ltimos
aos los padres del nuevo amigo de mis
hijos y qu propiedades tienen?
Con quin ha estado casada la nueva
niera de mis hijos, quines son sus
familiares y dnde ha vivido en los
ltimos 10 aos?

lvaro Gmez Vieites 44


Sistemas de Informacin

Proteccin de Datos Personales


Ley Orgnica de Proteccin de Datos Personales (LOPD), de
13 de diciembre de 1999
Art. 18.4 de la Constitucin: La Ley limitar el uso de la informtica
para garantizar el honor, la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de los derechos
LOPD: Entrada en vigor el 15 de enero de 2000
 Sustituye a la LORTAD
 Transposicin de la Directiva Europea 46/1995 de 24/11/1995
Reglamento de la LOPD (Real Decreto 1720/2007, de 21 de
diciembre)
 Entrada en vigor el 19 de abril de 2008
 Desarrollo de disposiciones relativas a la potestad sancionadora de la
Agencia de Proteccin de Datos, previstas en la LOPD, LSSI y LGT
 Deroga el anterior Reglamento de Medidas de Seguridad de los Ficheros
Automatizados (Real Decreto 994/1999, de 11 de junio)
lvaro Gmez Vieites 45

Sistemas de Informacin

Proteccin de Datos Personales


Definiciones importantes
Datos de carcter personal: cualquier informacin numrica,
alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo
concernientes a personas fsicas identificadas o identificables
 Persona identificable: toda persona cuya identidad pueda determinarse
mediante cualquier informacin referida a su identidad fsica, fisiolgica,
psquica, econmica, cultural o social
Fichero: todo conjunto organizado de datos de carcter personal, que
permita el acceso a los datos con arreglo a criterios determinados,
cualquiera que fuere la forma o modalidad de su creacin,
almacenamiento, organizacin y acceso
Tratamiento de datos: cualquier operacin o procedimiento tcnico,
sea o no automatizado, que permita la recogida, grabacin,
conservacin, elaboracin, modificacin, consulta, utilizacin,
cancelacin, bloqueo o supresin, as como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y
transferencias
lvaro Gmez Vieites 46
Sistemas de Informacin

Proteccin de Datos Personales


mbito de aplicacin (I)
Organizaciones pblicas y privadas que dispongan de
fuentes de datos de carcter personal registrados en soporte
fsico, que los haga susceptibles de tratamiento, uso o
explotacin posterior
Tratamiento efectuado en el territorio espaol de datos
personales (automatizado o no)

lvaro Gmez Vieites 47

Sistemas de Informacin

Proteccin de Datos Personales


mbito de aplicacin (II)
No ser aplicable a datos de personas jurdicas
 Ni a los ficheros que se limiten a incorporar los datos de las
personas fsicas que presten sus servicios en aqullas, consistentes
nicamente en su nombre y apellidos, las funciones o puestos
desempeados, as como la direccin postal o electrnica, telfono
y n de fax profesionales
Los datos relativos a empresarios individuales, cuando
hagan referencia a ellos en su calidad de comerciantes,
industriales o navieros, se entendern excluidos del rgimen
de aplicacin
Tampoco se aplica a los datos de personas fallecidas
lvaro Gmez Vieites 48
Sistemas de Informacin

Proteccin de Datos Personales

mbito de aplicacin (III)


Ficheros excluidos
 Mantenidos por personas fsicas para uso exclusivamente personal
o domstico (marco de la vida privada o familiar de los
particulares)

 Sometidos a la normativa sobre proteccin de materias


clasificadas
 Establecidos para la investigacin de terrorismo y otras formas
graves de delincuencia
lvaro Gmez Vieites 49

Sistemas de Informacin

Proteccin de Datos Personales


mbito de aplicacin (IV)
Fuentes de acceso pblico
 Repertorio telefnico
 Listas de personas pertenecientes a grupos profesionales
Deben contener nicamente los datos de nombre, ttulo, profesin,
actividad, grado acadmico, direccin e indicacin de su pertenencia
al grupo
 Diarios y boletines oficiales
 Medios de comunicacin
 Observacin importante: las resoluciones judiciales no pueden ser
consideradas como fuente accesible al pblico, sin perjuicio del
principio de publicidad contenido en la Ley Orgnica del Poder
Judicial

lvaro Gmez Vieites 50


Sistemas de Informacin

Proteccin de Datos Personales


mbito de aplicacin (V)
La inclusin en una pgina Web de datos personales debe cumplir el
Derecho comunitario sobre Proteccin de Datos
 Sentencia del Tribunal de Justicia de la UE, nov 2003: Caso LINDQVIST
Este tipo de tratamiento de datos no se incluye en la categora de actividades
exclusivamente personales o domsticas
La sentencia se refiere a una seora sueca que durante un perodo en el que fue catequista en
una parroquia cre, en su domicilio y con su ordenador personal, varias pginas Web con el
fin de que los feligreses de la parroquia que se preparaban para la confirmacin pudieran
obtener fcilmente la informacin que pudiera resultarles til. Dichas pginas contenan
informacin sobre ella y dieciocho de sus compaeros de la parroquia, incluido su nombre de
pila y a veces el nombre completo. Adems, se describa en un tono ligeramente humorstico
las funciones que desempeaban sus compaeros, as como sus aficiones. En varios casos se
mencionaba la situacin familiar, el nmero de telfono e informacin adicional
La seora en cuestin fue condenada a pagar una multa de aproximadamente 450 euros por
haber tratado datos personales de modo automatizado sin haberlo comunicado previamente
por escrito al organismo pblico para la proteccin de los datos transmitidos por va
informtica, por haberlos transferido a pases terceros sin autorizacin y por haber tratado
datos personales delicados. La afectada interpuso un recurso de apelacin contra esta
resolucin ante los tribunales suecos, quienes preguntaron al Tribunal de Justicia de la UE si
las supuestas infracciones eran contrarias a las disposiciones de la Directiva relativa a la
proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la
lvaro Gmez Vieites libre circulacin de estos datos 51

Sistemas de Informacin

Proteccin de Datos Personales


Responsable del fichero y encargado del tratamiento
Responsable del fichero o tratamiento: persona fsica o jurdica, de
naturaleza pblica o privada, que decide sobre la finalidad, contenido y
uso del tratamiento
Encargado del tratamiento: es el que slo o conjuntamente con otros
trate datos personales por cuenta del responsable del fichero
 Tiene responsabilidad conjunta con el responsable del fichero sobre el
establecimiento de las medidas de seguridad
 Es el responsable de hacer efectivo el derecho de rectificacin o
cancelacin en el plazo de 10 das
 Obligacin de indemnizar por los daos que los interesados sufran como
consecuencia del incumplimiento por su parte de las obligaciones que le
marca la LOPD

lvaro Gmez Vieites 52


Sistemas de Informacin

Proteccin de Datos Personales


Relacin entre el responsable del fichero y el
encargado del tratamiento
Art. 12 de LOPD: La realizacin de tratamientos por cuenta de
terceros deber estar regulada en un contrato que deber constar por
escrito o en alguna otra forma que permita acreditar su celebracin y
contenido, establecindose expresamente que el encargado del
tratamiento nicamente tratar los datos conforme a las instrucciones
del responsable del tratamiento, que no los aplicar o utilizar con fin
distinto al que figure en dicho contrato, ni los comunicar, ni siquiera
para su conservacin, a otras personas (de este modo, la LOPD
impide una posible subcontratacin del tratamiento de los datos)
En el contrato se estipularn, asimismo, las medidas de seguridad a
que se refiere el artculo 9 de esta Ley que el encargado del tratamiento
est obligado a implementar

lvaro Gmez Vieites 53

Sistemas de Informacin

Proteccin de Datos Personales


Responsable del Persona fsica o jurdica, de naturaleza pblica o
fichero o privada, u rgano administrativo, que decida sobre la
tratamiento finalidad, contenido y uso del tratamiento.

Persona fsica o jurdica, autoridad pblica, servicio o


Encargado de cualquier otro organismo que, slo o conjuntamente
Tratamiento con otros, trate datos personales por cuenta del
responsable del tratamiento.

Persona o personas a las que el responsable del


Responsable de fichero ha asignado formalmente la funcin de
coordinar y controlar las medidas de seguridad
Seguridad
aplicables.

lvaro Gmez Vieites 54


Sistemas de Informacin

Proteccin de Datos Personales


Creacin de ficheros de titularidad privada
Notificacin previa a la Agencia de Proteccin de Datos
 Responsable del fichero
 Finalidad del mismo
 Ubicacin
 Tipo de datos de carcter personal que contiene
 Medidas de seguridad
 Indicacin del nivel bsico, medio o alto exigible
 Cesiones de datos que prevean realizar
Inscripcin en el Registro General de Proteccin de Datos
Comunicacin de las posteriores modificaciones

lvaro Gmez Vieites 55

Sistemas de Informacin

Proteccin de Datos Personales


Creacin de ficheros de titularidad pblica
Es necesaria una disposicin general publicada en el BOE o en el
Diario Oficial correspondiente (Art. 20 de la LOPD)
Disposiciones de creacin o modificacin de ficheros deben indicar:
La finalidad del fichero y los usos previstos para el mismo.
Las personas o colectivos sobre los que se pretenda obtener datos de carcter
personal o que resulten obligados a suministrarlos.
El procedimiento de recogida de los datos de carcter personal.
La estructura bsica del fichero y la descripcin de los tipos de datos de
carcter personal incluidos en el mismo.
Las cesiones de datos de carcter personal y, en su caso, las transferencias de
datos que se prevean a pases terceros.
Los rganos de las Administraciones responsables del fichero.
Los servicios o unidades ante los que pudiesen ejercitarse los derechos de
acceso, rectificacin, cancelacin y oposicin.
Las medidas de seguridad con indicacin del nivel bsico, medio o alto.
lvaro Gmez Vieites 56
Sistemas de Informacin

Proteccin de Datos Personales


Principio fundamental de habeas data
Fijado en Espaa por una Sentencia del Tribunal Supremo del
30 de noviembre de 2000: los datos personales son del
ciudadano, no de la organizacin que decide crear un fichero en
el que se incluyan dichos datos
Sentencia del Tribunal Constitucional nmero 292/2000: los derechos
de acceso, rectificacin, cancelacin y oposicin al tratamiento
constituyen el haz de facultades que emanan del derecho fundamental
a la proteccin de datos y sirven a la capital funcin que desempea
este derecho fundamental: garantizar a la persona un poder de control
sobre sus datos personales, lo que slo es posible y efectivo
imponiendo a terceros los mencionados deberes de hacer

lvaro Gmez Vieites 57

Sistemas de Informacin

Proteccin de Datos Personales


Principios de la proteccin de los datos (I)
Calidad de los datos (Art. 4 LOPD)
 Datos adecuados, pertinentes y no excesivos en relacin con el
mbito y las finalidades para las que se hayan obtenido
 Datos exactos y puestos al da para garantizar la veracidad
 Sern cancelados cuando hayan dejado de ser necesarios
Seguridad de los datos (Art. 9 LOPD)
 El responsable del fichero, y, en su caso, el encargado del
tratamiento debern debe adoptar las medidas necesarias de ndole
tcnica y organizativa para garantizar la seguridad de los datos de
carcter personal y eviten su alteracin, prdida, tratamiento o
acceso no autorizado
Deber de secreto (Art. 10 LOPD)
lvaro Gmez Vieites 58
Sistemas de Informacin

Proteccin de Datos Personales


Principios de la proteccin de los datos (II)
Derecho de informacin en la recogida de datos (Art. 5)
 La informacin debe abarcar:
Existencia, finalidad y destinatario de la informacin
Carcter obligatorio/facultativo de respuestas
Consecuencias de obtencin o negativa a suministrarlos
Identidad y direccin del responsable del tratamiento
 Se tendr que llevar a cabo a travs de un medio que permita
acreditar su cumplimiento, debiendo conservarse mientras
persista el tratamiento de los datos del afectado (art. 18
Reglamento)
Incorporacin de esta informacin en todos los formularios y
documentos utilizados para la recogida de datos
lvaro Gmez Vieites 59

Sistemas de Informacin

Proteccin de Datos Personales


Principios de la proteccin de los datos (III)
Consentimiento del afectado (Art. 6 LOPD)
 El tratamiento de los datos requiere el consentimiento inequvoco
del afectado (y por escrito en datos especialmente protegidos)
El artculo 3.h) de la Ley Orgnica 15/1999 define el consentimiento
del interesado como toda manifestacin de voluntad, libre,
inequvoca, especfica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen
Excepciones:
Datos obtenidos de fuentes accesibles al pblico
Datos necesarios para el ejercicio de funciones de la Administracin
Datos de personas vinculadas por relacin negocial, laboral,
administrativa, contractual (cuando sean necesarios para mantener las
relaciones o el contrato)
Cuando afecte a la Defensa Nacional, la seguridad pblica o la
persecucin de infracciones penales
 Se prohbe la recogida por medios fraudulentos, desleales o ilcitos
lvaro Gmez Vieites 60
Sistemas de Informacin

Proteccin de Datos Personales


Principios de la proteccin de los datos (IV)
Comunicacin o cesin de datos a terceros (Art. 11 LOPD)
 Se requiere el consentimiento previo del interesado (informado
sobre la finalidad de la comunicacin y las actividades del
cesionario)
 Excepciones:
Que se trate de una cesin autorizada por una norma con rango de ley
o una norma de derecho comunitario Datos obtenidos de fuentes
accesibles al pblico
Cesin necesaria para el desarrollo, cumplimiento y control de
relacin jurdica libre y legtimamente aceptada
Destinatario: Defensor del pueblo, Ministerio fiscal, Tribunales
Cesiones entre Administraciones con fines histricos, estadsticos o
cientficos
Razones de urgencia de datos relativos a la salud
lvaro Gmez Vieites 61

Sistemas de Informacin

Proteccin de Datos Personales


Principios de la proteccin de los datos (V)
Comunicacin o cesin de datos a terceros (Art. 11 LOPD)
 Las cesiones o comunicaciones de datos entre empresas de un
mismo grupo requieren consentimiento del interesado, siendo
necesario identificar explcitamente las finalidades a las que se
destinarn los datos
 Responsabilidad para la empresa adquirente de los datos (Art.
11.5), que debe cumplir con todo lo dispuesto por la LOPD
Acceso a los datos por parte de terceros (Art. 12 LOPD)
 Distincin entre comunicacin de datos a un tercero y tratamiento
de datos por cuenta del responsable del fichero
 No se considerar cesin cuando el acceso a los datos sea
necesario para la prestacin de un servicio al Responsable del
Fichero
lvaro Gmez Vieites 62
Sistemas de Informacin

Proteccin de Datos Personales


Derechos de las personas (I)
Derecho de informacin en la recogida de los datos
Derecho de consulta al Registro General de Proteccin de
Datos
 Derecho a conocer del Registro la existencia de tratamientos de
datos, sus finalidades y la identidad del responsable del tratamiento
Derecho de acceso de sus datos de carcter personal
 Derecho a obtener gratuitamente informacin sobre:
Sus datos sometidos a tratamiento, el origen de dichos datos y las
comunicaciones de los mismos
Plazo de 1 mes para hacerlo efectivo
Perodo de 12 meses para volver a ejercer este derecho
lvaro Gmez Vieites 63

Sistemas de Informacin

Proteccin de Datos Personales


Derechos de las personas (II)
Derecho de rectificacin y cancelacin
 Plazo de 10 das naturales para hacerlo efectivo y dar respuesta
expresa al interesado
 La cancelacin dar lugar al bloqueo de los datos, conservndose
disponibles para la Administracin, Jueces y Tribunales durante el
perodo de prescripcin de las posibles responsabilidades
Supresin tras prescribir las responsabilidades
Plazos de prescripcin comunes:
Prescripcin de las acciones personales en la legislacin civil.
Conservacin de los datos de negocio impuesta por la legislacin mercantil.
Conservacin de los datos de los empleados segn los plazos marcados en la legislacin laboral

 En el caso de previa comunicacin (cesin de datos), el


responsable del fichero se encargar de comunicar la rectificacin o
cancelacin a todas aquellas personas a las que haya comunicado
los datos, para que procedan de igual modo
lvaro Gmez Vieites 64
Sistemas de Informacin

Proteccin de Datos Personales


Derechos de las personas (III)
Derecho de oposicin
 El afectado podr oponerse al tratamiento de sus datos an cuando
se trate de aquellos para los que no sea necesario su consentimiento
(datos procedentes de fuentes accesibles al pblico)
El responsable del fichero excluir del tratamiento los datos relativos
al afectado
Derecho a indemnizacin (Art. 19 LOPD)
Las lesiones que el incumplimiento de los preceptos de esta Ley
Orgnica pueda producir al afectado, en sus bienes o derechos
generan derecho de indemnizacin, bien de acuerdo con el
procedimiento establecido de responsabilidad de las Administraciones
Pblicas, en el caso de los ficheros de titularidad pblica, o bien ante
los Tribunales ordinarios para los ficheros de titularidad privada
Tutela de derechos por parte de la APD
lvaro Gmez Vieites 65

Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad para la Proteccin de los Datos
El Reglamento determina las medidas de ndole tcnica y
organizativa necesarias para garantizar la integridad y
seguridad de ficheros automatizados, centros de
tratamiento, locales, equipos, sistemas, programas, as como
de las personas que intervengan en el tratamiento
automatizado de los datos
 Las medidas tambin resultan aplicables a los ficheros en soporte
no automatizado
 No se registrarn datos de carcter personal en ficheros que no
renan las condiciones que se determinen por va reglamentaria con
respecto a su integridad y seguridad y a las de los centros de
tratamiento, locales, equipos, sistemas y programas (art. 9.2 de la
LOPD)
lvaro Gmez Vieites 66
Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad para la Proteccin de los Datos
Niveles de Seguridad para los datos:
 Bsico: de aplicacin a todos los ficheros de datos de carcter
personal
 Medio: ficheros que contengan datos relativos a la comisin de
infracciones administrativas o penales, ficheros de Hacienda
Pblica, ficheros de clientes de servicios financieros, ficheros de
Entidades Gestoras y Servicios Comunes de la Seguridad Social,
ficheros de mutuas de accidentes de trabajo y enfermedades
profesionales de la Seguridad Social
Asimismo, cuando los ficheros contengan un conjunto de datos de
carcter personal suficientes que permitan obtener una evaluacin de
la personalidad o del comportamiento del individuo

lvaro Gmez Vieites 67

Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad para la Proteccin de los Datos
Niveles de Seguridad para los datos:
 Alto: ficheros que contengan datos de ideologa, religin,
creencias, origen racial, salud o vida sexual, as como los recabados
para fines policiales y los de actos derivados de violencia de gnero
En caso de ficheros o tratamientos de datos de ideologa, afiliacin
sindical, religin, creencias, origen racial, salud o vida sexual bastar
la implantacin de las medidas de seguridad de nivel bsico cuando
los datos se utilicen con la nica finalidad de realizar una
transferencia dineraria a las entidades de las que los afectados sean
asociados o miembros
Tambin podrn implantarse las medidas de seguridad de nivel bsico
en los ficheros o tratamientos que contengan datos relativos a la
salud, referentes exclusivamente al grado de discapacidad o la simple
declaracin de la condicin de discapacidad o invalidez del afectado,
con motivo del cumplimiento de deberes pblicos (nminas,
lvaro Gmez Vieites
declaraciones IRPF, etc.) 68
Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad para la Proteccin de los Datos
Elaboracin de un documento de seguridad
 Contenido:
mbito de aplicacin del documento con especificacin detallada de los recursos
protegidos (ficheros declarados por la organizacin)
Medidas, normas y procedimientos para garantizar el nivel de seguridad
Funciones y obligaciones del personal con acceso a los datos
Estructura de los ficheros con datos de carcter personal y descripcin de los sistemas
de informacin que los tratan
Procedimiento de notificacin y gestin de incidencias
Procedimientos de realizacin de copias de seguridad
Las medidas que sea necesario adoptar para el transporte de soportes y documentos, as
como para la destruccin de los documentos y soportes, o en su caso, la reutilizacin
de estos ltimos
En caso de tratamiento de datos por cuenta de terceros, el documento de seguridad
deber identificar los ficheros o tratamientos que se traten en concepto de encargado,
con referencia expresa al contrato o documento que regule las condiciones del encargo,
as como de la identificacin del responsable y del perodo de vigencia del encargo
lvaro Gmez Vieites 69

Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad de Nivel Bsico (I)
Funciones y obligaciones del personal con acceso a datos
 Las funciones y obligaciones de cada uno de los usuarios o
perfiles de usuarios con acceso a los datos de carcter personal y a
los sistemas de informacin estarn claramente definidas y
documentadas en el documento de seguridad
 Tambin se definirn las funciones de control o autorizaciones
delegadas por el responsable del fichero o tratamiento
 El responsable del fichero o tratamiento adoptar las medidas
necesarias para que el personal conozca de una forma comprensible
las normas de seguridad que afecten al desarrollo de sus funciones
as como las consecuencias en que pudiera incurrir en caso de
incumplimiento
lvaro Gmez Vieites 70
Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad de Nivel Bsico (II)
Identificacin y autenticacin de usuarios
 El responsable del fichero o tratamiento establecer un mecanismo
que permita la identificacin de forma inequvoca y personalizada
de todo aquel usuario que intente acceder al sistema de informacin
y la verificacin de que est autorizado
 Cuando el mecanismo de autenticacin se base en la existencia de
contraseas existir un procedimiento de asignacin, distribucin y
almacenamiento que garantice su confidencialidad e integridad
El documento de seguridad establecer la periodicidad, que en
ningn caso ser superior a un ao, con la que tienen que ser
cambiadas las contraseas que, mientras estn vigentes, se
almacenarn de forma ininteligible
lvaro Gmez Vieites 71

Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad de Nivel Bsico (III)
Control de acceso
 Los usuarios deben tener acceso nicamente a los datos que
necesitan para el desempeo de sus funciones
 Los mecanismos deben evitar el acceso a datos no autorizados
 Debe existir una relacin de usuarios o perfiles de usuarios con los
accesos autorizados
 nicamente personal autorizado puede conceder y modificar los
derechos de acceso

lvaro Gmez Vieites 72


Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad de Nivel Bsico (IV)
Gestin de soportes informticos (cintas, cartuchos, discos) y
documentos con datos de carcter personal que permita identificar,
inventariar y almacenar la informacin
 La salida de soportes y documentos (incluidos los adjuntos a un correo
electrnico) fuera de los locales bajo el control del responsable del fichero
o tratamiento deber ser autorizada por el responsable del fichero o
encontrarse debidamente autorizada en el documento de seguridad
 En el traslado de la documentacin se adoptarn las medidas dirigidas a
evitar la sustraccin, prdida o acceso indebido a la informacin durante
su transporte.
 Siempre que vaya a desecharse cualquier documento o soporte que
contenga datos de carcter personal deber procederse a su destruccin o
borrado, mediante la adopcin de medidas dirigidas a evitar el acceso a la
informacin contenida en el mismo o su recuperacin posterior
lvaro Gmez Vieites 73

Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad de Nivel Bsico (V)
Registro de incidencias
 Deber contener al menos, el tipo de incidencia, el momento en el
que se produjo o en que se detecta, la persona que realiza la
notificacin, a quin se le comunica, los efectos que se hubieran
derivada de la misma y las medidas correctoras aplicadas
Copias de seguridad
 Existencia de procedimientos de generacin y recuperacin de las
copias de seguridad, que debern realizarse, como mnimo,
semanalmente
 Limitacin de las pruebas con datos reales (pruebas anteriores a la
implantacin o modificacin de los sistemas de informacin)

lvaro Gmez Vieites 74


Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad de Nivel Medio (I)
Identificacin y autenticacin
 Limitacin del nmero de intentos de acceso no autorizados al
sistema
Control de acceso fsico
 Limitacin del acceso a los locales donde se encuentran los
equipos y soportes con los datos
Gestin de soportes informticos
 Registro de entradas y salidas de soportes con datos

lvaro Gmez Vieites 75

Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad de Nivel Medio (II)
Existencia de la figura del Responsable de Seguridad
 Responsable de adoptar las medidas de ndole tcnico y
organizativas necesarias que garanticen la seguridad de los datos de
carcter personal y eviten su alteracin, prdida, tratamiento o
acceso no autorizado, habida cuenta del estado de la tecnologa, la
naturaleza de los datos almacenados y los riesgos a que estn
expuestos, ya provengan de la accin humana o del medio fsico o
natural
Registro de incidencias
 Registro de procedimientos de recuperacin de datos, que han de
contar con la autorizacin por escrito del responsable del fichero

lvaro Gmez Vieites 76


Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad de Nivel Medio (III)
Auditora interna o externa (al menos cada dos aos)
 El informe de auditora deber dictaminar sobre la adecuacin de
las medidas y controles al Reglamento, identificar sus deficiencias
y proponer las medidas correctoras o complementarias necesarias
 Deber incluir los datos, hechos y observaciones en que se basen
los dictmenes alcanzados y recomendaciones propuestas

lvaro Gmez Vieites 77

Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad de Nivel Medio (IV)
Documento de seguridad (informacin adicional)
 Identificacin del responsable o responsables de la seguridad
 Controles peridicos para verificar la seguridad
 Procedimientos para el control de los registros de entradas y
salidas de soportes
 Plan auditor

lvaro Gmez Vieites 78


Sistemas de Informacin

Proteccin de Datos Personales


Medidas de Seguridad de Nivel Alto
Distribucin de soportes informticos
 Los datos debern estar cifrados
Telecomunicaciones
 Los datos debern transmitirse cifrados
Registro de accesos
 Identificacin del usuario, fecha, hora, fichero accedido, tipo de
acceso, resultado (autorizado o denegado), registro accedido
 Mantenimiento durante al menos 2 aos
Copias de seguridad
 Debern guardarse en un lugar diferente a los equipos

lvaro Gmez Vieites 79

Sistemas de Informacin

Proteccin de Datos Personales


Tipos de Infracciones (I)
Leves
 No atender una solicitud del interesado de rectificacin o
cancelacin de los datos personales
 No solicitar la inscripcin del fichero de datos en el Registro
General de Proteccin de Datos
 Proceder a la recogida de datos de carcter personal sin
proporcionar informacin a los afectados
 Incumplir el deber de secreto

lvaro Gmez Vieites 80


Sistemas de Informacin

Proteccin de Datos Personales


Tipos de Infracciones (II)
Graves
 Proceder a la creacin de ficheros de titularidad privada con
finalidades distintas de las que constituyen el objeto legtimo
 Proceder a la recogida de datos de carcter personal sin el
consentimiento expreso de las personas afectadas
 Mantener datos de carcter personal inexactos o no efectuar las
rectificaciones o cancelaciones de los mismos que procedan
 Mantener los ficheros, locales, programas o equipos que
contengan datos de carcter personal sin las debidas condiciones de
seguridad

lvaro Gmez Vieites 81

Sistemas de Informacin

Proteccin de Datos Personales


Tipos de Infracciones (III)
Muy Graves
 La recogida de datos en forma engaosa y fraudulenta
 La comunicacin o cesin de los datos de carcter personal, fuera
de los casos en que estn permitidas
 Recabar y tratar los datos de carcter personal especialmente
protegidos sin cumplir los requisitos exigidos por la LOPD
 La transferencia temporal o definitiva de datos de carcter
personal con destino a pases que no proporcionen un nivel de
proteccin equiparable sin autorizacin del Director de la Agencia
de Proteccin de Datos

lvaro Gmez Vieites 82


Sistemas de Informacin

Proteccin de Datos Personales


Tipos de sanciones (I)
Infracciones leves: multa de 100.000 a 10.000.000 de pesetas (601 a
60.101 )
Infracciones graves: multa de 10.000.000 a 50.000.000 de pesetas
(60.101 a 300.506 )
Infracciones muy graves: multa de 50.000.000 a 100.000.000 de
pesetas (300.506 a 601.012 )
 Potestad de inmovilizacin de los ficheros por parte de la APD
La cuanta de las sanciones se graduar atendiendo a:
 La naturaleza de los derechos personales afectados; el volumen de los
tratamientos efectuados; los beneficios obtenidos; el grado de
intencionalidad; la reincidencia; los daos y perjuicios causados a las
personas interesadas.

lvaro Gmez Vieites 83

Sistemas de Informacin

Proteccin de Datos Personales


Tipos de sanciones (II)
Prescripcin:
 Leves: 1 ao Graves: 2 aos Muy graves: 3 aos
El procedimiento sancionador se iniciar siempre de oficio
mediante acuerdo del Director de la Agencia de Proteccin
de Datos, bien por denuncia de un afectado o afectados o
por propia iniciativa.
 Las resoluciones de la APD agotan la va administrativa (recurso
contencioso- administrativo contra ellas)
Si las infracciones se cometen en ficheros de titularidad
pblica (art. 46 de la LOPD):
 El Director de la APD podr proponer la adopcin de medidas
disciplinarias, de acuerdo con lo establecido por el Rgimen
Disciplinario de las Administraciones Pblicas.
lvaro Gmez Vieites 84
Sistemas de Informacin

Proteccin de Datos Personales


Adaptacin prctica a la LOPD
Sensibilizacin de los responsables
Auditora de partida
 Revisin de los tratamientos de datos realizados (aplicaciones
informticas internas y tratamientos realizados por terceros)
 Anlisis de los ficheros con datos de carcter personal (bases de
datos y documentos en papel)
Estructura (qu datos utilizo), finalidad (para qu los utilizo),
procedencia (cmo los obtengo), actualizacin de los datos, tiempo
previsto para su conservacin
Inscripcin de los ficheros identificados en el RGPD
Redaccin del Documento de Seguridad
Implantacin en la prctica de las Medidas de Seguridad
lvaro Gmez Vieites 85

Sistemas de Informacin

Proteccin de Datos Personales


Adaptacin prctica a la LOPD
Revisin de tratamientos y de cesiones a terceros
 Formalizacin mediante un contrato de los tratamientos, exigiendo
la implantacin de las medidas de seguridad adecuadas
 Especial atencin a las cesiones
Qu datos? (proporcionalidad), para qu? (finalidad) y por qu?
(legitimidad)
Revisin de los procedimientos relacionados con la
proteccin de datos:
 Informacin a los interesados sobre el tratamiento
 Peticin del consentimiento para el tratamiento
 Respuesta a las peticiones de acceso, rectificacin, cancelacin u
oposicin, etc.
lvaro Gmez Vieites 86
Sistemas de Informacin

Proteccin de Datos Personales


Adaptacin prctica a la LOPD
Formacin y sensibilizacin de los empleados
Clara definicin de las funciones y obligaciones del
personal
Otras cuestiones a considerar:
 Posibles transferencias internacionales de datos
 Aplicacin de regulaciones sectoriales especficas sobre
proteccin de datos (consultar instrucciones de la APD)

lvaro Gmez Vieites 87

Sistemas de Informacin

Comentarios, cuestiones,
sugerencias...
agomez@simce.com

lvaro Gmez Vieites 88